Datenschutz: Datenschutz-Grundverordnung (DS-GVO) und BDSG n.F. sowie aktuelle Auslegungshilfen

4.9/5 (7 Bewertungen)

Rechtshinweis zum Artikel

Ab dem 25. Mai 2018 werden Unternehmen zum Teil die datenschutzrechtlichen Vorgaben der neuen EU-Verordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung)“ - oder kurz DSGVO - und des geänderten Datenschutzgesetzes zu beachten haben.

Mit der aktuellen DS-GVO wird der wohl mögliche Haftungsumfang bei Verstößen bis 20.000.000,-€ für natürliche Personen oder 4 % des letzten weltweiten Jahresgesamtumsatzes bei Unternehmen umfassen.

Damit besteht unserer Ansicht nach für Unternehmen in Bezug auf die umfassenden Betroffenenrechte, die erweiterten Dokumentationspflichten und vor dem Hintergrund der hohen Bußgeld- und Schadensersatzrisiken bis dahin ein erheblicher Anpassungs- und Änderungsbedarf.

Für Kollektivvereinbarungen, wie auch durch Betriebsvereinbarung, wurde speziell der § 26 Abs. 4 BDSG n.F. eingefügt. Dieser Absatz enthält, dass in Vereinbarungen die Verarbeitung von Arbeitnehmerdaten beispielsweise durch Konzern- bzw. Betriebsvereinbarung erlaubt werden kann. Diese Regelung basiert unmittelbar auf Art. 88 Abs. DSGVO.

Die umfangreichen Vorschriften der DSGVO könnten den Unternehmen zunächst einmal Anfangsschwierigkeiten bei der Umsetzung bereiten.

Ziel ist die Angleichung des Datenschutzes in der EU durch die Datenschutz-Grundverordnung DS-GVO

Mit der Einführung der DSGVO wird der Datenschutz europaweit einheitlich geregelt. Sie dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie erlangt ohne Umsetzungsakt unmittelbare Geltung (Vollharmonisierung durch Wahl einer Verordnung anstatt einer Richtlinie). Zudem hat sie als europäisches Sekundärrecht Anwendungsvorrang vor den nationalen Normen (wie dem BDSG). Damit werden die Regelungen des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze hinfällig. Somit werden umfangreiche Neuregelungen notwendig. Eine Angleichung des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze wird somit zu folgen haben.

Wer ist betroffen von der DSGVO bzw. dem BDSG n.F.?

Die DSGVO gilt für alle Stellen, die ganz oder teilweise automatisiert oder nichtautomatisiert personenbezogene Daten verarbeiten, welche in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Art. 2 Abs. 1 DSGVO

(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Dabei gelten ein paar wenige Ausnahmen:

Art. 2 Abs. 2 DSGVO

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, 
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

(Hervorhebungen nicht im Original)

Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU), welches zur Umsetzung der DSGVO im deutschen Recht dienen soll und das bisherige BDSG ablösen wird, wird für öffentliche Stellen des Bundes, öffentliche Stellen der Länder, welche personenbezogene Daten verarbeiten und nichtöffentliche Stellen, welche die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, durchführen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Zudem findet es auf nichtöffentliche Stellen nur Anwendung, sofern

  • der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
  • die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
  • der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) llt.

§1 BDSG n.F. - Anwendungsbereich des Gesetzes

(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes, öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie

a) Bundesrecht ausführen oder

b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.

r nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

[...]

(4) Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet es Anwendung, sofern

der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,

die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder

der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.

Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftragsverarbeiter nur die §§ 8 bis 21, 39 bis 44.

[...]

(Hervorhebungen nicht im Original)

Die Begriffe Öffentliche Stellen des Bundes und der Länder, sowie Nichtöffentliche Stellen werden im § 2 BDSG n.F. definiert:

§2 BDSG n.F. - Begriffsbestimmungen

(1) Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich- rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

(3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffentliche Stellen des Bundes, wenn

1. sie über den Bereich eines Landes hinaus tätig werden oder

2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.

Andernfalls gelten sie als öffentliche Stellen der Länder.

(4) Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

(5) Öffentliche Stellen des Bundes gelten als nichtöffentliche Stellen im Sinne dieses Gesetzes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Als nichtöffentliche Stellen im Sinne dieses Gesetzes gelten auch öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist.

(Hervorhebungen nicht im Original)

 

Auswirkungen der DSGVO bzw. BDGS n.F. insbesondere in Deutschland

In Deutschland sind alle Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten oder nutzen, gesetzlich verpflichtet, die erforderlichen und angemessenen technischen und organisatorischen Maßnahmen zum Erzielen und Aufrechterhalten der Datensicherheit zu treffen.

Dies ergibt sich bisher vor allem aus § 9 BDSG i.V.m. der Anlage zu § 9 S. 1 BDSG. Dabei verlangt § 9 BDSG ausdrücklich eine Verhältnismäßigkeit von Maßnahme und Schutzzweck.

§ 9 BDSG

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. (Hervorhebungen nicht im Original)

Der Anforderungskatalog in der Anlage zu § 9 S. 1 BDSG listet eine Reihe von Maßnahmen auf, um das Ziel Datensicherheit zu erreichen. Die gesetzlichen Anforderungen an die erforderlichen Datensicherungsmaßnahmen sind unserer Ansicht nach im Gesetz jedoch flexibel gehalten, da sie u.a. unabhängig von einem bestimmten Stand der Technik und verwendeten Medien beschrieben werden.

In Anlage zu § 9 S. 1 BDSG sind in den Nummern 1 bis 8 folgende Maßnahmen aufgelistet:

Nr. 1:    Unbefugten soll durch Zutrittskontrollmaßnahmen der physische Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden.

  • Dies könnte zum Beispiel durch die Verwendung von Berechtigungsausweisen oder Alarmanlagen gewährleistet werden.

Nr.2:     Zugangskontrollmaßnahmen sollen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindern.

  • Diese Maßnahme könnte beispielsweise durch ein effektives Passwortmanagement erreicht werden.

Nr.3:     Zugriffskontrollmaßnahmen sollen sicherstellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Zugriffskontrollmaßnahmen könnten durch Berechtigungskonzepte garantiert werden.

Nr. 4:    Mit der Weitergabekontrolle soll verhindert werden, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es soll zudem überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Als Maßnahmen kommen hier u.a. Regelungen zur Datenträgervernichtung in Betracht.

Nr. 5:    Die Eingabekontrolle soll gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder gelöscht worden sind.

  • Dies könnte durch eine Protokollierung von Dateneintragungen und –löschungen gewährleistet werden.

Nr. 6:    Die Auftragskontrolle soll dazu dienen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können.

Nr. 7:    Die Verfügbarkeitskontrolle soll gewährleisten, dass Daten gegen die zufällige Zerstörung oder den Verlust geschützt sind.

  • Hierzu sollten Sicherungsmaßnahmen wie Notstromaggregaten und die regelmäßige Erstellung von Backups getroffen werden.

Nr. 8:    Durch das Trennungsgebot ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Es liegt im Ermessen des Unternehmens, welche konkreten Maßnahmen zum Schutz der Daten in den benannten Bereichen ergriffen werden. Trifft ein Unternehmen nicht die erforderlichen technischen und organisatorischen Maßnahmen zur Einhaltung von Datenschutz und Datensicherheit, kann es nach dem aktuellen Bundesdatenschutzgesetz weder mit Bußgeldern noch mit Strafen rechnen. Die Aufsichtsbehörden können lediglich fordern, dass die geeigneten Maßnahmen vorgenommen werden und die weitere Datenverarbeitung bis zum Erreichen eines angemessenen Schutzniveaus verbieten.

Hingegen mit der neueingeführten aktuellen DSGVO, welche ab dem 25.05.2018 beachtet werden soll, wird der wohl mögliche Haftungsumfang bei Verstößen bis 20.000.000,-€ für natürliche Personen oder 4 % des letzten weltweiten Jahresgesamtumsatzes bei Unternehmen umfassen.

Art 83 Abs. 6 DSGVO

(6)  Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. (Hervorhebungen nicht im Original)

Anpassung des BDSG n.F. an die europäische Datenschutz-Grundverordnung

Die Bundesregierung hat einen Gesetzesentwurf vorgelegt, welcher auch ein Anpassungsgesetz zur EU-DSGVO umfasst. Dieser Entwurf wurde am 28.04.2017 vom Bundestag angenommen, am 12.05.2017 hat der Bundesrat zugestimmt und am 30.06.2017 verkündet.

Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) wird am 25.05.2018 in Kraft treten.

Dieses Gesetz enthält umfassende Neuregelung des allgemeinen Datenschutzrechts für öffentliche Stellen des Bundes und der Länder sowie für nicht-öffentliche Stellen im Zuge der Umsetzung von EU-Recht.

Es beinhaltet u.a. eine Neuregelung des Beschäftigtendatenschutzes. Der neue § 26 BDSG (n.F.) orientiert sich am bisherigen § 32 BDSG, ist allerdings wesentlich umfangreicher und facettenreicher als der bisherige § 32 BDSG. § 26 BDSG (n.F.) stellt wie § 32 BDSG auf das Merkmal der „Erforderlichkeit“ der Verarbeitung personenbezogener Daten ab. Man geht im Schrifttum unter Bezug auf die Gesetzesmaterialien davon aus, dass im Rahmen praktischer Konkordanz die widerstreitenden Grundrechtspositionen von Arbeitgeber und Arbeitnehmer gegeneinander abzuwägen sind.

Weiterhin enthält § 26 BDSG n.F. die Gestattung zur Verarbeitung personenbezogener Daten der Beschäftigten. Dazu enthält er eine Erforderlichkeitsprüfung, welche somit auch als allgemeiner Maßstab für die Arbeit des Betriebsrats im Umgang mit Arbeitnehmerdaten herangezogen werden könnte.

Auch eine Einwilligung des Arbeitnehmers soll möglich bleiben.

Für Kollektivvereinbarungen, wie auch die Betriebsvereinbarung, wurde speziell der § 26 Abs. 4 BDSG n.F. eingefügt. Dieser Absatz enthält eine Feststellung, dass weiterhin in Vereinbarungen die Verarbeitung von Arbeitnehmerdaten erlaubt werden kann. Diese Regelung basiert unmittelbar auf Art. 88 Abs. DSGVO.

Art. 88 Abs. 2 DSGVO auszugsweise:

„Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, [...]“

„[...] insbesondere im Hinblick auf die Transparenz der Verarbeitung, [...]“

„[...] die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, [...]“

„[...] und die Überwachungssysteme am Arbeitsplatz.“

(Hervorhebungen nicht im Original)

Die Verantwortlichen müssen die Einhaltung der dort kodifizierten Grundsätze beachten, wenn sie solche Regelungen in eine Kollektivvereinbarung einfügen!

§ 26 BDSG n.F. lautet auszugsweise:  

„Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.

[...]

(4) Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten. [...]“

(Hervorhebungen nicht im Original)

Im Vergleich dazu, sind die Ausführungen zum Beschäftigtendatenschutz im § 32 BDSG noch wesentlich kürzer:

„(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.

(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.“

(Hervorhebungen nicht im Original)

Zudem könnte die DS-GVO auch Auswirkungen auf die Betriebsräte haben

Die Betriebsräte haben in der Regel für den Arbeitnehmerschutz zu sorgen. Die DSGVO dient als spezielles Schutzgesetz und soll für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sorgen. So wäre es wohl Aufgabe der Betriebsräte auch über dessen Einhaltung zu wachen, zur Zuständigkeit und zum Mitbestimmungsrecht des Betreibsrates bzw. Konzernbetriebsrat lesen Sie nach einem Klick auf diesen Link weiter.

Es könnten entweder Neuverhandlungen über die bestehenden Betriebsvereinbarungen oder die Zusammenarbeit zwecks Errichtung einer vollständig neuen Betriebsvereinbarung notwendig werden.

Da inklusive Unterrichtung über die neue Rechtslage diese Verhandlungen vermutlich viel Zeit in Anspruch nehmen werden, ist daher der alsbaldige Beginn empfehlenswert.

Einführung eines Datenschutz-Management-Systems (DSMS)

Die neuen Regelungen des DSGVO haben nicht nur Auswirkungen auf einzelne Maßnahmen/ Bußgeldhöhen usw., vielmehr ist unserer Ansicht nach das gesamte betriebliche Datenschutz-System daran auszurichten (sog. Datenschutz-Management-System).

Aus § 5 Abs. 1 DSGVO ergeben sich die einzelnen Grundsätze, welche zu befolgen sind:

  1. Personenbezogene Daten müssen
  1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
  3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
  6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
  1. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). (Hervorhebungen nicht im Original)

Aus § 5 Abs. 1, Abs. 2 DSGVO ergibt sich eine neue Rechenschaftspflicht für den Arbeitgeber. So muss dieser demnach nicht nur die Einhaltung dieser Grundsätze gewährleisten, vielmehr muss er dies im Nachhinein auch nachweisen können.

Die verschiedenen Pflichten des Arbeitgebers sind in verschiedenen Vorschriften der DSGVO genau beschrieben.

  • Vgl. zur Verpflichtung der Rechtmäßigkeit Art. 6 DSGVO
  • „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
  • Bedingungen sind u.a. Einwilligung, Erforderlichkeit der Verarbeitung für die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung, Schutz lebenswichtiger Interessen des Beschäftigten, uvw.
  • Verpflichtung zu Datenschutz Folgeabschätzung in §§ 35, 36 DSVGO
    • Hat die bestimmte Form der Datenverarbeitung ein besonders hohes Risiko für Rechte oder Freiheiten eines Betroffenen, muss der verpflichtete eine Folgenabschätzung durchführen.
  • Art. 24 DSGVO schreibt dem Verantwortlichen vor, risikobehaftete Verarbeitungen umfangreich mit geeigneten Maßgaben zu schützen:

„(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

  • Art. 32 DSGVO trägt dem Arbeitgeber darüber hinaus auf, für die Datensicherheit zu sorgen.

„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; [...]“

  • Darüber hinaus sind auch interne Maßnahmen zu berücksichtigen/ umzusetzen.
    • Art. 30 DSGVO trägt dem Verantwortlichen auf, ein Verzeichnis über alle Verarbeitungsmaßnahmen zu führen.

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: [...]“

  • Nach Art. 37 DSGVO ist ein Datenschutzbeauftragter zu bestellen, bspw. wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird:

„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“
  • Nach Art. 17 DSGVO besteht ein „Recht auf Vergessenwerden“

„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: [...]“

(es gilt jeweils Hervorhebungen nicht im Original)

Es sollte sich unserer Ansicht nach jeder Arbeitgeber (ggf. unter Abstimmung mit dem Betriebsrat) um ein ausführliches und geordnetes Datenschutz-Management-System bemühen!

Aktuelle Auslegungshilfen deutscher Datenschutzbehörden zur DSGVO bzw. BDSG n.F.

Viele der datenschutzrechtlichen Konzepte und Prinzipien der DSGVO ähneln nach unserem Dafürhalten der bisherigen EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), deren Vorschriften in Deutschland mit dem deutschen Bundesdatenschutzgesetz (BDSG) umgesetzt wurden.


Allerdings sind die Vorschriften der DSGVO noch weitreichender.

Zur Auslegung der Artikel der Datenschutz-Grundverordnung können die Erwägungsgründe der DS-GVO mit herangezogen werden. Auf EU-Ebene hat die Artikel-29-Datenschutzgruppe 2016 einen Aktionsplan zur Umsetzung der Datenschutz-Grundverordnung (DS-GVO) erstellt.

Aber auch die deutschen Datenschutzbehörden haben sich zur Auslegung der Datenschutz-Grundverordnung geäußert. Dabei ist allerdings zu beachten, dass es sich bei Stellungnahmen und Beschlüssen der Aufsichtsbehörden der Länder, der Art. 29 Datenschutzgruppe und des Düsseldorfer Kreises um Behördenmeinungen handelt. An diesen Aussagen kann man sich zwar orientieren, allerdings sind sie nicht rechtsverbindlich und entfalten keine Vertrauenswirkung. Letztendlich zählen die Entscheidungen des EuGHs.

 

Es existieren aktuell die folgenden Auslegungshilfen der deutschen Datenschutzbehörden:

Broschüre der BfDI zur Datenschutz-Grundverordnung (DS-GVO)

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat am 04. Mai 2016 eine Broschüre zur DS-GVO veröffentlicht, welche einführende Erläuterungen zum Inhalt der Verordnung enthält.

 

Praxishilfen des Düsseldorfer Kreises zum Datenschutz

Der Düsseldorfer Kreis ist als Arbeitskreis der unabhängigen deutschen Datenschutzbehörden des Bundes und der Länder zuständig für deren Kommunikation, Kooperation und Koordinierung. Er ist für verschiedene Arbeitsgremien eingeteilt und veröffentlicht Datenschutzrichtlinien und Praxishilfen für bestimmte Themen.

 

Kurzpapiere der Datenschutzkonferenz zur Datenschutz-Grundverordnung (DS-GVO)

Die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) haben bisher acht Kurzpapiere veröffentlicht, welche als erste Orientierung zur Auslegung und Anwendung der DS-GVO dienen sollen.

Diese Kurzpapiere befassen sich mit den folgenden Themen:

  • Kurzpapier Nr. 1 – Verzeichnis von Verarbeitungstätigkeiten
  • Kurzpapier Nr. 2 – Aufsichtsbefugnisse/Sanktionen
  • Kurzpapier Nr. 3 – Verarbeitung personenbezogener Daten für Werbung
  • Kurzpapier Nr. 4 – Datenübermittlung an Drittländer
  • Kurzpapier Nr. 5 – Datenschutz-Folgenabschätzung
  • Kurzpapier Nr. 6 – Auskunftsrecht
  • Kurzpapier Nr. 7 – Marktortprinzip
  • Kurzpapier Nr. 8 – Maßnahmenplan

Diese Kurzpapiere können auf den Internetseiten der Aufsichtsbehörden abgerufen werden.

 

Arbeitspapier des Hessischen Datenschutzbeauftragten zum Datenschutz

Der Hessische Datenschutzbeauftragte hat zur Auslegung der ab dem 25.05.2018 unmittelbar anwendbaren Bestimmungen das Arbeitspapier „Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht“ auf der Website https://www.datenschutz.hessen.de/ veröffentlicht.

 

Kurzpapiere des BayLDA zur DS-GVO

Das Bayrische Landesamt für Datenschutzaufsicht hat seit Juni 2016 in regelmäßigen Abständen inzwischen 20 Kurzpapiere als Auslegungshilfen der DS-GVO bereitgestellt.

Diese befassen sich mit den Artt. 9, 17, 30, 32-34, 35, 37-40, 42 DS-GVO und den Themen „Videoüberwachung nach der DS-GVO“, „Sanktionen nach der DS-GVO“, „Einwilligungen nach der DS-GVO“, „Auftragsverarbeitung nach der DS-GVO“, „Datenübermittlung in Drittstaaten nach der DS-GVO“, „Verarbeitung personenbezogener Daten für Werbung“, „One Stop Shot“, „Amtshilfe und gemeinsame Maßnahmen der Aufsichtsbehörden“, „Einwilligung eines Kindes“, „Auskunftsrecht der betroffenen Person“, und „Beschäftigtendatenschutz nach der DS-GVO und BDSG – neu“.

 

Welche Hilfsmittel zur DS-GVO bzw. BDSG n.F. werden für Unternehmen aktuell angeboten?

Für den bestehenden Anpassungs- und Weiterentwicklungsbedarf an die Vorgaben der DS-GVO gibt es unserer Ansicht nach für die Unternehmen keine Musterlösung. Allerdings werden ihnen Hilfestellungen angeboten.

 

Eine Auswahl dieser uns aktuell vorliegenden Hilfestellungen soll im Folgenden aufgezeigt werden:

Zehn-Punkte-Papier zur DS-GVO der Aufsichtsbehörden für Datenschutz im nicht-öffentlichen Bereich

Die Aufsichtsbehörden für Datenschutz im nicht-öffentlichen Bereich haben auf der Datenschutzkonferenz am 24.05.2017 10 Punkte für Unternehmen als Anregung zur Vorbereitung auf die DS-GVO zusammengestellt.

 

Kurzpapiere der Datenschutzkonferenz zur DS-GVO

Zudem haben die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) acht Kurzpapiere veröffentlicht, welche als erste Orientierung dienen sollen, wie die DS-GVO nach ihrer Auffassung im praktischen Vollzug angewendet werden sollte.

Insbesondere wurde ein Maßnahmenplan „DS-GVO“ für Unternehmen entwickelt.

 

Arbeitspapier des Hessischen Datenschutzbeauftragten zum Datenschutz

Der Hessische Datenschutzbeauftragte hat davon gesondert zur Anwendung und Auslegung der ab dem 25.05.2018 unmittelbar anwendbaren Bestimmungen das Arbeitspapier „Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht“ auf der Website https://www.datenschutz.hessen.de/ veröffentlicht, um Unternehmen, öffentlichen Stellen, Datenschutzbeauftragten eine erste Orientierung zur neuen Rechtslage zu ermöglichen.

 

Fragenkatalog des Bayrischen Landesamts für Datenschutz

Das Bayrische Landesamt für Datenschutz hat einen Fragenkatalog für Unternehmen zur Umsetzung der DS-GVO veröffentlicht.

 

Schleswig-Holstein – Handreichungen des ULD zur DS-GVO

Das ULD hat bereits 2011 Handreichungen und Vorlagen für eine datenschutzkonforme Dokumentation veröffentlicht. In ihrem Tätigkeitsbericht 2017 verweist die ULD auf diese Vorlagen, um den nach der DS-GVO geforderten Nachweis und Dokumentationspflichten gerecht zu werden.

Zudem hat das ULD in Zusammenarbeit mit weiteren Projektpartnern im Rahmen des Projekts „Forum Privatheit“ ein White Paper zur Datenschutz-Folgenabschätzung veröffentlicht, welches als Werkzeug für einen besseren Datenschutz dienen soll, woran sich Unternehmen orientieren können.

 

Niedersachsen zur DS-GVO

Der Landesbeauftragte für den Datenschutz in Niedersachsen hat auf seiner Website Informationen bereitgestellt, die einen Überblick zu dem Datenschutzbeauftragten nach der DS-GVO geben sollen, unter anderem eine Checkliste zur Benennung eines Datenschutzbeauftragten nach der DS-GVO für Verantwortliche und Auftragsverarbeiter von Unternehmen und Unternehmensgruppen.

 

Rheinland-Pfalz zur DS-GVO

Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat auf der Website eine FAQ-Seite eingerichtet, um einen ersten Überblick über die DS-GVO zu ermöglichen.

 

Sachsen-Anhalt zur DS-GVO

Der Landesbeauftragte für Datenschutz Sachsen-Anhalt hat in einem Dokument „Jetzt auf die Europäische Datenschutz-Grundverordnung vorbereiten“ besonders wichtige Punkte speziell für Unternehmen und Vereine zusammengefasst, die für die Geschäftsführungen, betriebliche Datenschutzbeauftragte und Beschäftigte, die personenbezogene Daten verarbeiten wichtig werden könnten.

 

Praxishilfen der Gesellschaft für Datenschutz und Datensicherheit e.V. zur DS-GVO

Auf der Website des Landesbeauftragten für Datenschutz Sachsen-Anhalt findet sich ein Hinweis auf Praxishilfen der Gesellschaft für Datenschutz und Datensicherheit e.V., welche der Landesbeauftragte bei der Prüfung, inwieweit der Datenschutz an die DS-GVO anzupassen ist, für sehr hilfreich hält. Darunter finden sich unteranderem ToDos für die Übergangsfrist bis zur Geltung der DS-GVO und Verantwortlichkeiten und Aufgaben nach der DS-GVO.

 

Auslegungshilfen der Artikel-29-Datenschutzgruppe zur DS-GVO

Die Artikel-29-Gruppe veröffentlicht neben den Stellungnahmen und Interpretationsleitfäden, nunmehr auch erste abgestimmte Auslegungshilfen der deutschen Aufsichtsbehörden zur DS-GVO. Damit erhalten Unternehmen für ihr Projekt zur Umsetzung der DS-GVO Hilfestellungen bei der Auslegung der Vorschriften zum neuen europäischen Datenschutzrecht.

 

FAQ-Dokument von bitkom zur Umsetzung der DS-GVO für Unternehmen

Bitkom – Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. – hat ein FAQ-Dokument „Was muss ich wissen zur EU-Datenschutz-Grundverordnung?“ veröffentlicht, welches das Ziel hat, den Einstieg in die Planung zur Umsetzung der DS-GVO für Unternehmen zu erleichtern. Es soll vor allem kleinen und mittleren Unternehmen als Checkliste dienen, um möglichst zielgerichtet innerhalb des Unternehmens die richtigen Prozesse in Gang zu setzen.

 

Seminarangebot des Forums für Datenschutz

Vom Forum für Datenschutz werden Seminare für Unternehmen angeboten, die die Praxis des betrieblichen Datenschutzbeauftragten und aktuelle Anforderungen unter Berücksichtigung der EU-DS-GVO/BDSG-neu zum Thema haben.

 

Aktuell bestehende konkrete Maßnahmen seitens der Behörden zur Einhaltung eines Datenschutzniveaus zur Einhaltung der Informationssicherheit (IT-Sicherheit)

IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Das Bundesamt für Sicherheit und Informationstechnik hat insbesondere hinsichtlich der im Unternehmen verwendeten IT-Systeme IT-Grundschutzkataloge veröffentlicht, die eine Auswahl an geeigneten Maßnahmen zur Erreichung und Aufrechterhaltung der Datensicherheit enthalten. Damit will das BSI eine einfache Methode anbieten, um alle Informationen einer Institution angemessen zu schützen.

 

Handreichung des Bundesverband IT-Sicherheit e.V.

Zur Ermittlung des Standes der Technik nach dem IT-Sicherheitsgesetz hat der Bundesverband IT-Sicherheit eine Handreichung erarbeitet, die ebenfalls als Leitlinie zur Ermittlung des „Standes der Technik“ herangezogen werden kann. Mit dieser Handreichung sollen Handlungsempfehlungen und eine Orientierung gegeben werden. Dabei wird der „Stand der Technik“ für die relevanten Systeme, Komponenten und Prozesse im Sinne des IT-Sicherheitsgesetztes zusammengefasst.

 

Das Standard-Datenschutzmodell (SDM)

Das Standard-Datenschutzmodell ist eine Methode, die im November 2016 von der Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder veröffentlicht wurde, mit der die Übereinstimmung von gesetzlichen Anforderungen und deren Beachtung bzw. Umsetzung in personenbezogenen Verfahren herstellbar wird. Das verbessert insbesondere die Integrität und Transparenz auch von Datenschutz-Beratungen und Prüfungen. Somit konnte erstmals für den Bereich des operativen Datenschutzes sichergestellt werden, dass eine deutschlandweit einheitliche Datenschutz-Beratungs- und Prüfungspraxis erreicht werden kann.

Nach Aussage des ULD berücksichtigt dieses SDM die Anforderungen der DS-GVO im Bereich der technischen und organisatorischen Maßnahmen, so dass dieses auch zur Umsetzung des Art. 32 DS-GVO herangezogen werden kann.

Es bleibt abzuwarten, ob diese konkreten Maßnahmen an die DSGVO bzw. die Neufassung des BDSG angepasst werden und inwiefern neue Maßnahmen und Möglichkeiten für Unternehmen zur Einhaltung und Feststellung eines Datenschutzniveaus zur Einhaltung der Informationssicherheit entwickelt werden.

 

Fazit zur DS-GVO und zum BDSG n.F.

Mit der DSGVO und der Neufassung des BDSG könnte für Unternehmen ein erheblicher Änderungs- und Anpassungsbedarf bestehen, nicht zuletzt wegen der hohen Bußgeld- und Schadensersatzrisiken.

Bei der Umsetzung der neuen Vorgaben stehen den Unternehmen verschiedene Auslegungs- und Hilfsmittel u.a. der deutschen Datenschutzbehörden zur Verfügung.

Letztendlich gibt es unserer Ansicht nach allerdings keine Musterlösung, die die Unternehmen vorzugehen haben.

Ein alsbaldiger Beginn der Überprüfung der internen Datenschutzmaßnahmen beispielsweise durch ein DMS und der Umsetzung der neuen Vorgaben ist unserer Ansicht nach ratsam!

Bei weiteren Fragen rufen Sie uns einfach an.

4.9/5 (7 Bewertungen)

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung  ein Schuldanerkenntnis liege, unabhängig davon,... Weiterlesen

Unterlassungserklärung / mod. UE was ist das und wie weit reicht ihr Wirkungsumfang?

Was versteht man eigentlich unter einer Unterlassungserklärung? Durch eine Unterlassungserklärung, auch als mod. UE abgekürzt, verpflichtet... Weiterlesen

Vorbeugende Unterlassungserklärungen wirksamer Schutz?

Kann die Abgabe einer vorbeugenden Unterlassungserklärung ein wirksamer Schutz vor Folgeabmahnungen sein? ... Weiterlesen

Videoblog
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen
Die Dateien müssen kleiner als 16 MB sein.
Zulässige Dateierweiterungen: gif jpg png bmp tif txt rtf pdf doc docx bz2 gz rar zip.

* Diese Angaben werden benötigt.

Kanzleibriefe
IT-Recht und Arbeitsrecht: Mitbestimmungsrecht des Betriebsrats bzw. Konzernbetriebsrats insbesondere bei IT-Systemen

Das Mitbestimmungsrecht des Betriebsrats oder Konzernbetriebsrates ist unserer Ansicht nach eine der stärksten Beteiligungsformen des Betriebsrats an Entscheidungen des Arbeitgebers. Sofern diesem ein Mitbestimmungsrecht zusteht, sind die Entscheidungen des Arbeitgebers nur mit der Zustimmung des Betriebsrats oder nach einer Einigung mit Hilfe der Einigungsstelle... Weiterlesen

Datenschutz: Datenschutz-Grundverordnung (DS-GVO) und BDSG n.F. sowie aktuelle Auslegungshilfen

Ab dem 25. Mai 2018 werden Unternehmen zum Teil die datenschutzrechtlichen Vorgaben der neuen EU-Verordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung)“ - oder kurz DSGVO - und des geänderten... Weiterlesen

Internetrecht: Domain gewinn.de kann nach Bereicherungsrecht herausverlangt werden?

Internetrecht: Bereicherungsanspruch eines früheren Domaininhabers erfolgreich bezüglich Domain gewinn.de durchgesetzt! Der Bundesgerichtshof entschied in seinem Urteil vom 18.01.2012 (Az. I ZR 187/10), dass ein Domainname an den früheren Berechtigten nach den Normen des § 812 I 1 Fall 2 BGB herausgegeben werden müsse. ... Weiterlesen